AWS Direct Connect 接続があります。Direct Connect ゲートウェイは AWS Transit Gateway に関連付けられています。Direct Connect 接続のバックアップとして Site to Site VPN を作成しましたが、非対称ルーティングの問題が発生しています。AWS VPN で非対称ルーティングの問題を解決し、自動フェイルオーバーを維持するにはどうすればよいですか?
簡単な説明
VPN 接続を Direct Connect のバックアップとして使用すると、非対称ルーティングの問題が発生する可能性があります。非対称ルーティングは、ネットワークトラフィックがある接続を経由して入り、別の接続を経由して出る場合に発生します。ファイアウォールなどの一部のネットワークデバイスは、受信したトラフィックがステートフルテーブルにログ記録されない場合、パケットをドロップします。
解決方法
アウトバウンドとインバウンドのネットワークトラフィックを設定するには、次のベストプラクティスに従ってください。
AWS からネットワークへのアウトバウンドトラフィックのベストプラクティス
- Border Gateway Protocol (BGP) を使用して、VPN で動的ルーティングを設定します。
- デバイスが VPN と Direct Connect を使用して、オンプレミスから AWS に同じプレフィックスをアドバタイズするか、より具体性の低い VPN プレフィックスをアドバタイズするようにしてください。例えば、10.0.0.0/16 は 10.0.0.0/24 に比べてより具体性は低いです。
- AWS は、受信したプレフィックスの長さが同じ値である場合、オンプレミスのトラフィックをネットワークに送信するときに、VPN 接続よりも Direct Connect に高い優先度の値を設定します。
- AWS Transit Gateway では、プレフィックスの長さが同じ値であれば、動的に伝達される Direct Connect ゲートウェイルートよりも VPN アタッチメントをポイントする静的ルートの方が優先されます。
- 動的 VPN をバックアップとしてデプロイした Direct Connect では、AS PATH プリペンドは推奨されていません。これは、プレフィクスが同じ場合は、AS PATH プリペンドの文字数にかかわらず、Direct Connect ルートが優先されるためです。
詳細については、Route tables and VPN priority を参照してください。
ネットワークから AWS へのインバウンドトラフィックのベストプラクティス
- ネットワークデバイスが Direct Connect 接続を介してリターントラフィックを送信するように確実に設定されているようにします。
- AWS からネットワークデバイスにアドバタイズされるプレフィックスが Direct Connect と VPN で同じである場合、BGP ローカルプリファレンス属性を使用して、デバイスに Direct Connect 接続を介して AWS へのアウトバウンドトラフィックを強制的に送信させることができます。Direct Connect パスでは、ローカルプリファレンスの値は高く、VPN のプリファレンスは低く設定します。例えば、Direct Connect はローカルプリファレンス 200、VPN は 100 とします。
重要:
Direct Connect で許可されたプレフィクスが集約され、VPN 経由でアドバタイズされるルートがより具体的である場合、ネットワークデバイスは VPN 経由で受信したルートを優先します。
例:
- トランジットゲートウェイで伝達されるルートは、VPC-A CIDR 10.0.0.0/16、VPC-B CIDR 10.1.0.0/16、および VPC-C 10.2.0.0/16 です。
- Direct Connect ゲートウェイで許可されるプレフィックスの集約されたプレフィクスは 10.0.0.0/14 です。これは 20 のプレフィクスの制限に対応するためです。
Direct Connect は Direct Connect ゲートウェイプレフィックス 10.0.0.0/14 をアドバタイズし、VPN トランジットゲートウェイは VPN 経由で各 VPC について /16 CIDR をアドバタイズします。
この問題を解決するには、集約された Direct Connect ゲートウェイルートをトランジットゲートウェイルートテーブルに挿入します。例えば、VPC アタッチメントをポイントする静的ルート 10.0.0.0/14 を追加します。これにより、トランジットゲートウェイは集約されたネットワークを VPN 経由でアドバタイズします。ネットワークデバイスは、Direct Connect と VPN から同じプレフィックスを受け取ります。その後、受信した具体的なプレフィクスを除外して、集約されたプレフィクスのみが VPN ピアからルーティングテーブルにインストールされるようにゲートウェイを設定します。ベンダーの仕様に応じて、ルートの除外に使用できるさまざまなオプションがあります。例えば、ルートマップ、プレフィックスリスト、ルーターフィルターリストなどです。
ネットワークから AWS へのトラフィックはトランジットゲートウェイルートテーブルに到達し、ゲートウェイはルックアップを実行して、各 VPC アタッチメントから最も具体的なルートを選択します。例:
VPC-A CIDR をポイントするアタッチメント A は 10.0.0.0/16 です。
VPC-B CIDR をポイントするアタッチメント B は 10.1.0.0/16 です。
VPC-C CIDR をポイントするアタッチメント C は 10.2.0.0/16 です。
関連情報
AWS Site to Site VPN routing
Amazon VPC route table priority
Transit Gateway から Direct Connect と VPN フェイルオーバーを設定する方法を教えてください